Długo oczekiwany roll-out jest wreszcie tutaj! Microsoft wysyła raporty zbiorcze DMARC RUA do swoich użytkowników i są szanse, że mogłeś tego nie zauważyć. Raporty zbiorcze Microsoft DMARC są wysyłane z następującego adresu e-mail: [email protected]. Surowy plik zbiorczy Microsoft DMARC jest wysyłany w standardowym formacie XML. Microsoft w końcu przyjął raportowanie DMARC, co zasadniczo oznacza, że teraz użytkownicy Hotmail, Outlook, Live i msn.com będą mogli korzystać z różnych korzyści płynących z danych zbiorczych Microsoft DMARC.

Przetwarzanie danych zbiorczych Microsoft DMARC

Analizator raportów PowerDMARC parsuje dane zbiorcze Microsoft DMARC do zorganizowanego formatu, który pomoże Ci w bardziej efektywnym przetwarzaniu danych.  

Aby pomóc użytkownikom w korzystaniu z zalet zagregowanych danych raportów wysyłanych przez Microsoft, PowerDMARC's analizator raportów DMARC został wstępnie skonfigurowany do otrzymywania raportów bezpośrednio na platformie. Wszystko, co użytkownicy muszą zrobić, to dodać swoje domeny na platformie PowerDMARC wraz z konfiguracją rekordu DNS DMARC, podczas gdy my przetwarzamy i prezentujemy raporty w łatwy i zrozumiały sposób. Tutaj znajdziesz:

  • Dane zbiorcze DMARC wysyłane z adresów odbiorców Hotmail, Outlook, Live i msn.com sparsowane z surowego formatu XML do prostych i czytelnych informacji uporządkowanych w tabelach
  • PowerDMARC jest wstępnie skonfigurowany do omijania naruszeń RFC, co pozwala nam odbierać i przetwarzać dane DMARC wysyłane przez serwery Microsoft bez konieczności martwienia się o to.
  • Rejestruj wiele domen, monitoruj kanały e-mail i dokonuj zmian DNS bezpośrednio z pulpitu nawigacyjnego z przyciskami akcji w zasięgu ręki.
  • Filtruj wyniki w różnych kategoriach, takich jak według wyniku, według źródła wysyłania, według organizacji, według kraju, geolokalizacji i szczegółowych statystyk lub wyników wyszukiwania według domeny na pasku wyszukiwania
  • Uzyskaj głębszy wgląd w wydajność swoich wiadomości e-mail i szybko wychwyć próby spoofingu domen, podszywania się pod inne domeny lub fałszywe wiadomości e-mail wysyłane z wykorzystaniem domen biznesowych Microsoft. Będziesz również w stanie przeanalizować wszelkie błędy SPF, DKIM z Twoich źródeł wysyłania.

Powyżej znajduje się zrzut ekranu naszych raportów zbiorczych DMARC dla poszczególnych organizacji, wyświetlający dane DMARC RUA wysłane z Microsoft.

Problemy, które możesz napotkać podczas samodzielnej obsługi zagregowanych raportów Microsoft DMARC

Zagregowane wiadomości e-mail Microsoft DMARC nie są zgodne z RFC

Podstawowym problemem, z jakim borykają się użytkownicy w związku z wiadomościami e-mail zawierającymi raporty wysyłane przez Microsoft, jest fakt, że nie są one zgodne ze specyfikacją RFC dla wiadomości internetowych. Podczas gdy RFC 5322 rozdział 2.1.1 jasno stwierdza, że linia znaków nie może przekraczać 78 znaków, dane załączników BASE64 w tych zagregowanych mailach Microsoft DMARC są ciągłą linią bez odpowiednich przerw w linii, która przekracza limit 78 znaków. Wynikające z tego naruszenie RFC jest powodem, dla którego większość z tych emaili ląduje w dzienniku odrzuceń użytkownika zamiast zostać dostarczona do jego skrzynki odbiorczej. 

Surowe pliki XML są trudne do odczytania

Podobnie jak dane DMARC wysyłane przez wszystkie organizacje raportujące, surowy plik RUA jest w rozszerzalnym języku znaczników (XML), który jest trudny do odczytania i zrozumienia.

Wymagania wstępne dotyczące otrzymywania Microsoft DMARC RUA

Aby otrzymywać zbiorcze raporty dla swoich domen na outlook.com, musisz upewnić się, że masz ważny rekord PowerDMARC opublikowany w DNS, wraz ze zdefiniowaną polityką DMARC. Organizacje raportujące będą wtedy wysyłać zbiorcze dane raportowe na wskazany przez Ciebie serwer WWW lub adres e-mail. Pomoże to uzyskać widoczność i zgodność z DMARC w przypadku zewnętrznych dostawców poczty elektronicznej, nad którymi w innym przypadku nie ma się kontroli. 

Chroń swoje domeny w pakiecie Microsoft Office365 i innych, rozpoczynając już dziś swoją przygodę z uwierzytelnianiem poczty elektronicznej. Skorzystaj z bezpłatnej wersji próbnej test DMARC lub umów się na demo DMARCi poznaj korzyści płynące z wdrożenia solidnego zabezpieczenia poczty elektronicznej w Twojej organizacji!

W przypadku, gdy natknąłeś się na "Brakuje polityki MTA-STS: STSFetchResult.NONE " podczas korzystania z narzędzi online, trafiłeś we właściwe miejsce. Dziś zamierzamy omówić, jak naprawić ten komunikat o błędzie i pozbyć się go poprzez włączenie polityki MTA-STS dla domeny.

Simple Mail Transfer Protocol, aka SMTP, jest standardowym protokołem przesyłania wiadomości e-mail używanym przez większość dostawców usług poczty elektronicznej. Nie jest obcym pojęciem, że SMTP od zarania dziejów stawiał czoła wyzwaniom związanym z bezpieczeństwem, wyzwaniom, z którymi do tej pory nie udało się uporać. Dzieje się tak dlatego, że aby uczynić e-maile kompatybilnymi wstecz, SMTP wprowadził szyfrowanie oportunistyczne w postaci polecenia STARTTLS. Oznacza to zasadniczo, że w przypadku, gdy szyfrowane połączenie nie może być wynegocjowane pomiędzy dwoma komunikującymi się serwerami SMTP, połączenie zostaje cofnięte do nieszyfrowanego, a wiadomości są wysyłane w czystym tekście. 

To sprawia, że e-maile przesyłane za pomocą SMTP są podatne na wszechobecny monitoring i ataki podsłuchowe typu Man-in-the-middle. Jest to ryzykowne zarówno dla nadawcy jak i odbiorcy i może prowadzić do naruszenia poufnych danych. MTA-STS wprowadza szyfrowanie TLS w protokole SMTP, aby uniemożliwić dostarczanie wiadomości przez niezabezpieczone połączenia. 

Co to jest Polityka MTA-STS?

Aby poprawić bezpieczeństwo poczty SMTP i w pełni wykorzystać protokoły uwierzytelniania takie jak MTA-STS, serwer wysyłający powinien mieć wsparcie dla tego protokołu, a serwer odbierający pocztę powinien mieć zdefiniowaną politykę MTA-STS w swoim DNS. Tryb wymuszonej polityki jest również zalecany w celu dalszego wzmocnienia standardów bezpieczeństwa. Polityka MTA-STS definiuje serwery pocztowe używające MTA-STS w domenie odbiorcy. 

W celu włączenia MTA-STS dla Twojej domeny jako odbiorcy poczty, musisz hostować plik polityki MTA-STS w swoim DNS. To pozwala zewnętrznym nadawcom e-maili wysyłać e-maile do Twojej domeny, które są uwierzytelnione i zaszyfrowane TLS z zaktualizowaną wersją TLS (1.2 lub wyższą). 

Brak opublikowanego lub zaktualizowanego pliku polityki dla Twojej domeny może być główną przyczyną napotkania komunikatów o błędach takich jak "Brakuje polityki MTA-STS: STSFetchResult.NONE", co sugeruje, że serwer nadawcy nie mógł pobrać pliku polityki MTA-STS, gdy zapytał DNS odbiorcy, stwierdzając jego brak.

Wymagania wstępne dla MTA-STS:

Serwery pocztowe, dla których MTA-STS będzie włączony, powinny używać TLS w wersji 1.2 lub wyższej, i powinny mieć certyfikaty TLS na miejscu, które są zgodne z aktualnymi standardami i specyfikacjami RFC, nie wygasły, i certyfikaty serwera, które są podpisane przez zaufane władze certyfikatu głównego.

Kroki, aby naprawić "Brak polityki MTA-STS"

1. Tworzenie i publikowanie rekordu TXT DNS MTA-STS 

Pierwszym krokiem jest stworzenie rekordu MTA-STS dla Twojej domeny. Możesz utworzyć rekord natychmiast przy użyciu generatora rekordów MTA-STS, dostarczając Ci dostosowany do potrzeb rekord DNS dla Twojej domeny. 

2. Definiowanie trybu polityki MTA-STS

MTA-STS oferuje dwa tryby polityki, z którymi mogą pracować użytkownicy.

  • Tryb testowy: Tryb ten jest idealny dla początkujących użytkowników, którzy nie konfigurowali wcześniej tego protokołu. Tryb testowy MTA-STS pozwala na otrzymywanie raportów SMTP TLS o problemach z polityką MTA-STS, problemach z nawiązywaniem szyfrowanych połączeń SMTP lub nieudanej próbie dostarczenia wiadomości e-mail. Dzięki temu można reagować na istniejące problemy z bezpieczeństwem domen i serwerów bez wymuszania szyfrowania TLS.
  • Tryb egzekwowania: Podczas gdy nadal otrzymujesz raporty TLS, z biegiem czasu optymalnym rozwiązaniem dla użytkowników jest egzekwowanie polityki MTA-STS, aby szyfrowanie było obowiązkowe podczas odbierania emaili używając SMTP. Zapobiega to zmianom lub ingerencji w wiadomości w trakcie ich przesyłania.

3. Tworzenie pliku polityki MTA-STS

Kolejnym krokiem jest hostowanie plików polityki MTA-STS dla domen. Zauważ, że chociaż zawartość każdego pliku może być taka sama, obowiązkowe jest hostowanie polityk oddzielnie dla poszczególnych domen, a pojedyncza domena może mieć tylko jeden plik polityki MTA-STS. Wiele plików polityki MTA-STS hostowanych dla jednej domeny może prowadzić do błędnej konfiguracji protokołu. 

Standardowy format pliku polityki MTA-STS jest podany poniżej: 

Nazwa pliku: mta-sts.txt

Maksymalny rozmiar pliku: 64 KB

wersja: STSv1

tryb: badanie

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Uwaga: Przedstawiony powyżej plik polityki jest jedynie przykładem.

4. Publikowanie pliku polityki MTA-STS

Następnie należy opublikować plik z polityką MTA-STS na publicznym serwerze WWW, który jest dostępny dla zewnętrznych serwerów. Upewnij się, że serwer, na którym hostujesz plik obsługuje HTTPS lub SSL. Procedura jest prosta. Zakładając, że twoja domena jest wstępnie skonfigurowana z publicznym serwerem WWW:

  • Dodaj subdomenę do istniejącej domeny, która powinna zaczynać się od tekstu: mta-sts (np. mta-sts.domain.com) 
  • Twój plik polityki będzie wskazywał na tę subdomenę, którą stworzyłeś i musi być przechowywany w katalogu .well-known directory
  • Adres URL dla pliku polityki jest dodawany do wpisu DNS podczas publikowania rekordu DNS MTA-STS, tak aby serwer mógł odpytywać DNS w celu pobrania pliku polityki podczas przesyłania wiadomości e-mail.

5. Aktywować MTA-STS i TLS-RPT

Na koniec, musisz opublikować swoje MTA-STS i TLS-RPT rekordy DNS w DNS domeny, używając TXT jako typu zasobu, umieszczone na dwóch oddzielnych subdomenach (_smtp._tls i _mta-sts). Dzięki temu do Twojej skrzynki pocztowej będą trafiać tylko wiadomości szyfrowane TLS, które są sprawdzone i niezakłócone. Ponadto będziesz otrzymywał codzienne raporty z zewnętrznych serwerów o problemach z dostarczeniem i szyfrowaniem na skonfigurowany przez Ciebie adres email lub serwer www.

Możesz zweryfikować ważność swoich rekordów DNS wykonując MTA-STS record lookup po tym jak Twój rekord zostanie opublikowany i będzie działał.  

Uwaga: Za każdym razem, gdy dokonujesz zmian w zawartości plików polityki MTA-STS, musisz ją zaktualizować zarówno na publicznym serwerze WWW, na którym hostujesz swój plik, jak i we wpisie DNS, który zawiera adres URL polityki. To samo dotyczy każdej aktualizacji lub dodania do domen lub serwerów.

Jak usługi Hosted MTA-STS Services mogą pomóc w rozwiązaniu problemu "MTA-STS Policy is Missing"?

Ręczne wdrażanie MTA-STS może być żmudne i wymagające oraz pozostawiać miejsce na błędy. PowerDMARC's hostowane usługi MTA-STS pomagają właścicielom domen przyspieszyć ten proces, sprawiając, że wdrażanie protokołu jest łatwe i szybkie. Możesz:

  • Opublikuj swoje rekordy CNAME dla MTA-STS za pomocą kilku kliknięć.
  • Zleć na zewnątrz ciężką pracę związaną z utrzymaniem i hostingiem plików polityki MTA-STS i serwerów internetowych
  • Zmieniaj tryb polityki, kiedy tylko chcesz, bezpośrednio z dostosowanego do Twoich potrzeb pulpitu nawigacyjnego, bez konieczności dostępu do DNS.
  • Wyświetlamy pliki JSON z raportami SMTP TLS w zorganizowanym i czytelnym dla człowieka formacie, który jest wygodny i zrozumiały zarówno dla osób technicznych jak i nietechnicznych.

Najlepsza rzecz? Jesteśmy zgodni z RFC i obsługujemy najnowsze standardy TLS. To pomoże Ci rozpocząć bezbłędną konfigurację MTA-STS dla Twojej domeny i cieszyć się jej korzyściami, pozostawiając kłopoty i zawiłości dla nas, abyśmy zajęli się nimi w Twoim imieniu! 

Mam nadzieję, że ten artykuł pomógł Ci pozbyć się monitu "Brak polityki MTA-STS: STSFetchResult.NONE" oraz w skonfigurowaniu protokołów poprawnie dla Twojej domeny, aby zniwelować luki i wyzwania w bezpieczeństwie SMTP. 

Włącz MTA-STS dla swoich wiadomości e-mail już dziś, korzystając z bezpłatnego uwierzytelnianie poczty elektronicznej Próba DMARCaby poprawić swoją obronę przed MITM i innymi cybernetycznymi atakami podsłuchowymi!